PEReDi 完全隐私的央行数字货币方案

第一个对完全隐私保护建模的方案，基于账户模型，要求交易双方都在线。

角色分类

中央银行$B$：负责发行数字货币和货币政策，但不控制用户账户的状态，没有能力对交易的发送者或接收者进行去匿名化或披露与特定交易相关的转移价值，并且不负责执行支付的监管规则。
维护者$M_J$：如商业银行和金融机构。负责验证交易和进行监管合规的各种审计操作，它们之间共享系统状态，且负责在用户发布交易时不断更新系统状态。所有的维护者的集合时公开的，只要敌手控制的维护者少于一定阈值，该系统就满足安全性。每个维护者都持有自己的账本（存有注册信息和交易信息）。
本方案中

• 所有维护者的数量为$|\mathbb{M}|=D$，设定了两个需要一定数量的维护者参与的门限阈值$\alpha$（用于交易验证）和$\beta$（用于执行审计协议）。
• 拥有两对ElGamal门限加密密钥对$(p{k}_{1,j},s{k}_{1,j})$和$(p{k}_{1,j},s{k}_{1,j})$。

用户$U$：作为交易的发送方或接收方。
本方案中

• 拥有一对公私钥$(p{k}_U,s{k}_U)$。
• 用于生成每笔交易tag= $T$的私钥$a$
  

交易过程

下图是用户在一笔交易中的状态变化过程

• Idle：惰态，用户交易之前的初始状态，发起交易的时候会发送交易信息 TI（包含用户的新盲签名账户）给所有维护者。发送交易之后，用户的状态将会更新为 Receiving/Sending。
• Receiving/Sending：处于该状态的时候，会自动忽略掉环境命令（生成新发送交易/接收交易，接收发行货币等等），也就是必须等上一笔交易完成，才能进行下一笔。当从此状态返回为 **Idle **状态时，代表一笔交易结束。结束有两种情况
  • Successful：即，交易成功，交易双方使用了满足规范的新账户，并且维护者们也收到了双方有效的交易信息（TI）。用户收到至少门限个维护人员的盲签名后，解盲并在新账户上聚合出新的签名，最后更改自己的状态，至此就可以开启下一笔交易。
  • Pending：也就是交易双方没有收到足够数量的盲签名，在收到 AR 中止请求（包含）的时候一直处于 Receiving/Sending 状态。用户在收到环境命令-中止交易 AR（包含用户重新刷新盲签名的账户）后，用户向维护者发送 AR。此时用户的状态切换为 Aborting
    • if 至少门限个维护者收到交易双方的 TI 对并存到了各自的账本里，此时维护者就会忽略掉重新刷新的账户，并且给用户发送他们自己的签名（为了用户的新账户），然后用户用这些盲签名，解盲，在新的账户聚合出签名。最后账户切换为 Idle。
    • else 维护者们对重随机的账户签名，并标记交易为中止，忽略掉新账户。用户用盲签名，解盲，在重随机账户上聚合出签名，最后账户切换为 Idle。

协议流程

初始化

主要是需要确保中央银行、维护人员都完成初始化，即激活在线。参与者们各自为每个方案的密码机制生成公私钥对。公钥会被保存在公钥目录中，该目录在需要的时候可以被获取到。用户会持有公私钥对以及一把私钥$a$（用于标签生成）。
维护者的数量为$D$，两个门限阈值$\alpha$（用于交易验证）和$\beta$（用于执行审计协议）

用户注册

即用户通过与维护者交互得到一个含有维护者签名的初始账户，便于进行第一次交易。

1. 初始化：用户初始化自己的状态为 **Idle，**接着初始化注册协议，调用门限盲签名算法TBS获取带有盲签名的账户$ac{c}^{\mathfrak{B}}$（账户的内容大致有$acc=(B,S,R,s{k}_U,a^x,a)$，$B,S,R,x$，分别代表余额，发送总值，接收总值和交易计数器，它们初始的时候都会被置为0），计算注册信息，${\mathsf{RI}}_j=({\mathsf{acc}}^{\bar{\mathfrak{B}}},a_j,r_j,{\mathsf{com}}_{\mathbb{M}},{\mathsf{pk}}_{\mathbf{U}},\pi )$
   1. 对$a$进行秘密分享得到 { a j } j = 1 \{a_j\}_{j=1} {aj​}j=1​并得到$a$的承诺$\widetilde{{\mathsf{com}}_j}=g^{a_j}\cdot h^{r_j}$， c o m M = { c o m j ~ } j = 1 D com_{\mathbb{M}} = \{\tilde{\mathsf{com}_j}\}^D_{j=1} comM​={comj​~​}j=1D​。
   2. 证明：接着用户需要调用非交互式零知识证明生成 Proof $\pi$，证明自己确实诚实的按照正确的方式生成了账户，即
      1. 私钥$s{k}_U$与用户公钥$p{k}_U$相关联。
      2. 账户中的使用的$a$就是前面秘密分享出来的$a$，且可以通过打开承诺$co{m}_{\mathbb{M}}$进行还原。
      3. 初始化账户各项值为0。
      4. 用户知道生成账户$ac{c}^{\mathfrak{B}}$和承诺$co{m}_{\mathbb{M}}$的两个随机数。
      5. 还需要证明$x$从1开始，且每一次交易递增1。
2. 发送注册信息：用户广播自己的$co{m}_{\mathbb{M}}$，然后通过P2P安全通道向维护者们分别发送注册信息

每个维护人员$M_j$

3. 注册验证：此时每一个维护人员将会分别从广播信道和P2P通道收到的消息里，找到同一个用户$U$，对其进行验证，如果满足
   1. 账户已存在
   2. 公钥不匹配
   3. 零知识证明不通过
   4. 承诺不通过
   5. 未通过KYC（Know your customer）的验证

则忽略掉注册请求，否则就为其生成一条用户记录$UR=(a_j,r_j,com\mathbb{M},U)$存在自己的账本里，接着为该账户生成盲签名${\sigma }_j^{\mathfrak{B}}$然后，P2P发送给用户。

5. 账户绑定：用户收到所有的盲签名后，进行解盲然后聚合为新的签名${\sigma }^{\mathfrak{B}}$和自己的账户绑定。

再收到用户已接受的信息后，央行也会将交易信息${\mathsf{Tl}}_B=\psi$发送给维护者

货币发行

即央行给用户发行资金。

用户：

1. 用户向央行提出申请，央行会通过安全匿名信道发送$v$价值的金额，如果此时用户在Idle状态，则会通过安全匿名通道向央行发送一个新随机数$\rho$，该随机数与阈值ElGamal加密生成的$\psi$有关。
2. 用户收到继续的指令之后，将交易信息 T l U = { ψ , a c c n e w , B , σ M R n d , T , v , π } \mathsf{Tl}_U=\{\psi,acc^{new,\mathfrak{B}},\sigma^{Rnd}_{\mathbb{M}},T,v,\pi\} TlU​={ψ,accnew,B,σMRnd​,T,v,π}发送给维护者，交易信息计算过程大致如下
   1. 对用户公钥和交易价值进行加密：使用随机数$\rho$、公钥$p{k}_U$和$g^v$计算出加密公钥和交易简直密文的$\psi =({\psi }_1,{\psi }_2,{\psi }_3)=(g^{\rho },{\mathsf{pk}}_{1,M}^{\rho }\cdot {\mathsf{pk}}_{\mathsf{U}},{\mathsf{pk}}_{2,M}^{\rho }\cdot g^v)$。
   2. 更新账户和签名：计算出新账户$ac{c}^{new,\mathfrak{B}}$，账户的更新算法为

$ac{c}^{new}=(B^{new},S^{new},R^{new},s{k}_U,a^{x+1},a)=(B^{old}+v,S^{old},R^{old}+v,s{k}_U,a^x\cdot a,a)$
，然后计算新的签名${\sigma }_{\mathbb{M}}^{Rnd}$（这个和注册协议里的获取方式一样，通过TBS门限盲签名计算）。

3. 更新交易标签：计算交易标签$T=g^{a^{x+1}}$，该标签每次交易都会递增，可以迫使用户每次都是用最新的账户。
4. 零知识证明：最后再次进行零知识证明，证明自己是诚实的进行协议的，即。
   1. 新账户中的私钥与用在$\psi$中的公钥是对应的。
   2. $T$的生成也是正确的，它的指数是使用新账户的第5个参数生成的。
   3. ${\sigma }_{\mathbb{M}}^{Rnd}$是${\sigma }_{\mathbb{M}}$的重随机化且${\sigma }_{\mathbb{M}}$是聚合了$\alpha$个不同的有效维护者的在原账户上的签名的签名。
   4. 新账户是在旧帐户和在$\psi$中的$v$的基础上更新的。
   5. 用户知道随机数$r_{reg}$，该随机数用于生成新账户、新签名和门限签名。
5. 使用安全发送给交易信息给维护者，收到上一个维护者的确认信息再发给下一个。

央行$B$：

3. 在确认用户已收到交易后，央行也会发送交易信息${\mathsf{Tl}}_B=\psi$给维护者，收到上一个维护者的确认信息再发给下一个。

每个维护人员$M_j$：

4. 交易验证：接收用户交易信息解析验证，若交易标识符已经存在于交易账本里（包含发行、支付交易、交易终止），或者零知识证明验证、签名验证不通过则忽略掉此交易信息。
5. 账本交易双方记录：先记录该交易到账本里，等收到同样经过验证的央行交易信息${\mathsf{Tl}}_B$时（对比消息中的签名$\psi ={\psi }^{\prime }$），将交易双方拼为交易对$({\mathsf{Tl}}_B,{\mathsf{Tl}}_U)$然后存在账本里。
6. 账本交易id：在账本中存下交易标识$t_{id}=(\psi ,T)$，生成新的盲签名${\sigma }_j^{new,\mathfrak{B}}$然后发送给用户

用户：

7. 在收到盲签名后，进行解盲然后聚合出新的盲签名${\sigma }_{\mathbb{M}}^{new}$。

支付

即正常的交易。

支付用户$U_s$

1. 如果处于 Idle，则将初始化支付协议，通过完全匿名信道向接收用户$U_r$发送交易价值$v$和与阈值签名${\psi }_s$生成有关的随机数${\rho }_s$这个签名生成和前面$\psi$类似，都是对用户公钥$p{k}_s$和交易价值$v$的加密。

接收用户$U_r$

2. 收到后，通过完全匿名信道返回类似的随机数${\rho }_r$（与${\psi }_r$）有关。，该签名则是用户公钥$p{k}_r$的加密

接收用户和支付用户

3. $U_s$和$U_r$计算交易信息${\mathsf{Tl}}_s$和${\mathsf{Tl}}_r$。其中${\mathsf{Tl}}_s=({\psi }_s,{\psi }_r,\overline{{\sigma }_s}({\psi }_r),{\mathsf{acc}}_s^{\mathsf{new},\mathfrak{B}},{\sigma }_{s,\mathbb{M}}^{\mathsf{Rnd}},{\mathsf{T}}_s)$，计算过程如下
   1. 计算门限加密，加密公钥和交易价值${\psi }_s=({\psi }_{s,1},{\psi }_{s,2},{\psi }_{s,3})=(g^{{\rho }_s},{\mathsf{pk}}_{1,\mathbb{M}}^{{\rho }_s}\cdot {\mathsf{pk}}_s,{\mathsf{pk}}_{2,\mathbb{M}}^{{\rho }_s}\cdot g^v)$和${\psi }_r=({\psi }_{r,1},{\psi }_{r,2})=(g^{{\rho }_r},{\mathsf{pk}}_{1,\mathbb{M}}^{{\rho }_r}\cdot {\mathsf{pk}}_r)$，$\overline{{\sigma }_s}({\psi }_r)$是对${\psi }_r$的知识签名。
   2. 更新账户和签名：方法和货币发行类似$ac{c}_s^{new}=(B_s^{new},S_s^{new},R_s^{new},s{k}_s,a_s^{x_s+1},a_s)=(B_s^{old}+v,S_s^{old},R_s^{old}+v,s{k}_s,a_s^x\cdot a_s,a_s)$
   3. 更新交易标签：计算交易标签$T_s=g^{a^{x+1}}$，该标签每次交易都会递增，可以迫使用户每次都是用最新的账户。
   4. 零知识证明：证明自己诚实进行协议，即
      1. 新账户中的私钥与用在${\psi }_s$中的公钥是对应的。
      2. $T_s$的生成也是正确的，它的指数是使用新账户的第5个参数生成的。
      3. ${\sigma }_{s,\mathbb{M}}^{Rnd}$是${\sigma }_{s,\mathbb{M}}$的重随机化且${\sigma }_{s,\mathbb{M}}$是聚合了$\alpha$个不同的有效维护者的在原账户上的签名的签名。
      4. 新账户是在旧帐户和在${\psi }_s$中的$v$的基础上更新的。
      5. 用户知道随机数$r_s$，该随机数用于生成新账户、新签名和门限签名。

${\mathsf{TI}}_r=({\psi }_s,{\psi }_r,\overline{{\sigma }_r}({\psi }_s),{\mathsf{acc}}_r^{\mathsf{new},\mathfrak{B}},{\sigma }_{r,\mathbb{M}}^{\mathsf{Rnd}},{\mathsf{T}}_r)$的计算过程类似。

4. 双方将交易信息发送给每一个维护人员，收到上一个维护者的确认信息再发给下一个。

每个维护人员$M_j$

5. 交易验证：接收用户交易信息解析验证，若交易标识符已经存在于交易账本里（包含发行、支付交易、交易终止），或者零知识证明验证、签名验证不通过则忽略掉此交易信息。
6. 账本交易双方记录：先记录该交易到账本里，等收到同样经过验证的另一方交易信息后时（对比消息中的签名$({\psi }_s,{\psi }_r)=({\psi }_s^{\prime },{\psi }_r^{\prime })$），将交易双方拼为交易对$({\mathsf{Tl}}_s,{\mathsf{Tl}}_r)$然后存在账本里。
7. 账本交易id：在账本中存下交易标识$t_{id}=(\psi ,T)$，为双方生成新的盲签名${\sigma }_{s,j}^{new,\mathfrak{B}},{\sigma }_{r,j}^{new,\mathfrak{B}}$然后发送给对应用户。

接收用户和支付用户

8. 收到消息后解盲然后聚合签名。

交易中止

特殊情况，即维护者收到了一方的交易信息并通过验证，但未收到交易另一方的有效交易信息，不能满足交易对，也就表示用户无法为自己新账户的生成收到足够数量的盲签名。此时
支付用户

1. 发送交易中止信息$\mathrm{AR}=(\mathrm{ac}{\mathrm{c}}^{\mathrm{r},\mathfrak{B}},{\sigma }_{\mathrm{M}}^{\mathrm{Rnd}},\mathrm{T},\pi )$给维护者，其中

• 更新账户为$ac{c}^r=(B^r,S^r,R^r,s{k}_U,a^{x+1},a)=(B^{old},S^{old},R^{old},s{k}_U,a^x\cdot a,a)$，$ac{c}^{r,\mathfrak{B}}$代表盲化版本。
• $T=g^{a^{x+1}}$为最近使用的交易tag
• $\pi$为相应的零知识证明

交易信息的计算过程如下

1. 计算$ac{c}^{r,\mathfrak{B}},{\sigma }_M^{Rnd}$
2. 执行零知识证明，即
   1. $T$的生成也是正确的，它的指数是使用新账户的第5个参数生成的。
   2. ${\sigma }_{\mathbb{M}}^{Rnd}$是${\sigma }_{\mathbb{M}}$的重随机化且${\sigma }_{s,\mathbb{M}}$是聚合了$\alpha$个不同的有效维护者的在原账户上的签名的签名。
   3. 新账户是在旧帐户的基础上更新的，也就是金额回到交易之前的状态。
   4. 用户知道随机数$r_{abr}$，该随机数用于生成新账户、新签名和门限签名。
3. 发送交易中止信息$\mathrm{AR}=(\mathrm{ac}{\mathrm{c}}^{\mathrm{r},\mathfrak{B}},{\sigma }_{\mathrm{M}}^{\mathrm{Rnd}},\mathrm{T},\pi )$给每一个维护人员，收到上一个维护者的确认信息再发给下一个。

每个维护人员$M_j$

3. 交易验证：解析消息，若交易标识符已经被中止（账本里存在一条中止记录），或者零知识证明验证、签名验证不通过则忽略掉此交易信息。
4. 拜占庭投票：若自己的账本里存在当前交易的标签$T$（发行或者支付交易），则向拜占庭协议里输入1，否则输入0。
5. 若拜占庭结果为1，代表至少有一个诚实的维护人员存下了此前的交易，则
   1. 存下了交易的诚实维护人员将该交易对$({\mathsf{Tl}}_s,{\mathsf{Tl}}_r)$通过认证信道发送给其他的维护人员。
   2. 收到的信息的维护人员对该交易对进行验证，无效则忽略，有效则对该交易对${\mathsf{acc}}_s^{\mathsf{new},\mathfrak{B}}，{\mathsf{acc}}_r^{\mathsf{new},\mathfrak{B}}$进行签名${\sigma }_{s,j}^{new,\mathfrak{B}},{\sigma }_{r,j}^{new,\mathfrak{B}}$。
   3. 如果没有存下相关交易对和交易标签，则存下，然后将对应签名发送给对应交易双方。

接收用户和支付用户收到消息后解盲然后聚合签名，交易完成，同时代表中止交易失败。

6. 若拜占庭结果为0，代表大部分维护者的账本是没有该交易标签的。
   1. 已经存有交易对的维护者，从自己的账本里删除掉该交易对信息。
   2. 存储下新的交易中止信息的标签$t_{id}=(Aborted,T)$。
   3. 对重新刷新的账户进行签名${\sigma }_j^{r,\mathfrak{B}}$，然后发送给用户。

接收用户收到消息后解盲然后聚合签名，交易完成，中止交易成功。

审计

隐私撤销

提交完全匿名的交易对， 审计委员会撤销其隐私并返回交易的元数据，即双方用户以及交易价值。

收到撤销特定交易tag的指令之后，
每个维护人员

1. 从账本里查找到与该tag $t_{id}$相关的加密交易对$({\psi }_s,{\psi }_r)$，并对其解密得到$({\psi }_{s,1}^{s{k}_1,j},{\psi }_{s,1}^{s{k}_2,j},{\psi }_{r,1}^{s{k}_1,j})$，接着调用零知识证明协议，证明解密正确。
2. 通过认证信道接收来自其他维护人员的信息（需要达到门限阈值的数量）和相应拉格朗日系数，调用恢复函数恢复出交易信息里的双方用户公钥$(p{k}_s,p{k}_r)$以及交易值$g^v$。同样需要调用零知识证明协议证明解密正确。
3. 调用密钥检索函数，通过公钥寻找到对应用户，并通过$g^v$计算出$v$。
   

追踪溯源

提交用户的标识符，审计委员会追溯出该用户的所有交易。

通过用户标识符，从注册协议中查到用户的交易计数器$a$的秘密分享，
维护者相互计算交易标签，直到该标签不存在于账本上，由此找到用户最近的交易。
收到追溯的指令之后，
每个维护人员

1. 从账本找到用户注册记录，使用零知识证明，证明里面的$a_j$是之前得到的那个，可以通过注册协议广播的$\widetilde{{\mathsf{com}}_j}$得证，即证明$\widetilde{{\mathsf{com}}_j}\in co{m}_{\mathbb{M}}$。
2. 通过认证信道接收其他维护人员的信息${\overline{\mathrm{x}}}_j=({\widetilde{\text{соm}}}_j,{\dot{g}}^{a_j},\dot{g})$以及对应的零知识证明proof（需要达到门限阈值的数量）和相应拉格朗日系数，其中$\dot{g}=g^{a^e}，e\leftarrow 0$，证proof并计算出${\dot{g}}^a$
3. 接着从自己账本里寻找包含此交易tag=${\dot{g}}^a$的交易，若存在，则将交易标签往前提一个$e\leftarrow e+1$，并存该交易相关$t_{id}$和相应参与双方信息。若不存在，则向其他所有参与者发送消息说明自己这里没有包含此交易tag=${\dot{g}}^a$的交易。
4. 若收到达到门限阈值数量个不包含交易tag的消息，则可以输出目前位置记录的所有交易信息（$t_{id}$，相应参与双方信息）。
   

小结

• 交易中止这块是特殊情况，不是很理想。账户丢失被盗这类问题没有解决。
• 离线情景没有考虑
  

参考

Kiayias, Aggelos, Markulf Kohlweiss, and Amirreza Sarencheh. “Peredi: Privacy-enhanced, regulated and distributed central bank digital currencies.” Proceedings of the 2022 ACM SIGSAC Conference on Computer and Communications Security. 2022.